セントOS 6.0
私はiptablesを調べていますが、FORWARDとOUTPUTチェーンの違いについて混乱しています。私の教育文書には次のように記載されています。
チェーンに(-A)を追加するか(-D)からチェーンを削除する場合は、次の3つの方向のいずれかに移動するネットワークデータに適用する必要があります。
- 入力 - 着信パケットはすべて、このチェーンの規則に従って確認されます。
- 出力 - すべての発信パケットがこのチェーンの規則に従ってチェックされます。
- 転送 - 他のコンピュータに送信されたすべてのパケットは、このチェーンの規則に従って確認されます。
ホストに送信されたパケットが外部に出る必要があるように見えるので、これは私を混乱させます。もしそうなら、パケットは別のコンピュータに送信されますが、「送信」されない状況はありますか? iptablesは2つをどのように区別しますか?
ベストアンサー1
OUTPUT はホストから送信されるパケットに使用されます。宛先は通常別のホストですが、ループバックインターフェイスを介して同じホストに到達する可能性があるため、OUTPUTを通過するすべてのパケットが実際に出てくるわけではありません。
FORWARD は、ホストによって送信されない、またはホストに転送されないパケットに適用されます。ホストによってのみルーティングされるパケットです。
パケットの修正とNATの詳細を学び始めると、全体の内容は次のようになります。かなり複雑です。